• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > 日本 > 日本における個人情報保護法の改正の概要について

日本における個人情報保護法の改正の概要について

2021年10月15日(金)

日本における個人情報保護法の改正の概要についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

個人情報保護法の改正の概要

 

個人情報保護法の改正の概要

2021年10月15日
One Asia Lawyers 東京事務所
弁護士 松宮浩典

 2020年6月12日に「個人情報の保護に関する法律等の一部を改正する法律」(以下「改正法」といいます。)が公布され、2022年4月に施行される予定です。そして、個人情報保護委員会が改正法のガイドラインが2021年8月2日に公表するなど、施行に向けての準備が進んでいます。以下では改正法の概要について説明致します。

1 改正の背景

 2015年の個人情報保護法の改正(以下「現行法」といいます。)にて「いわゆる3年ごと見直し」に関する規定(附則第12条)が盛り込まれ、個人の権利利益の保護と活用の強化、越境データの流通増大に伴う新たなリスクへの対応、AI・ビッグデータ時代への対応等の観点から、当該規定に基づいて今回の改正が行われました。

 今回の改正では、以下の点がポイントとなっています。

 ①個人の権利の在り方
 ②事業者の守るべき責務の在り方
 ③事業者による自主的な取組を促す仕組みの在り方
 ④データ利活用の在り方
 ⑤ペナルティの在り方
 ⑥法の域外適用・越境移転の在り方

2 個人の権利の在り方

  • (1) 利用停止・消去等の請求権の要件緩和
  •  現行法では、個人が利用停止・消去を請求できる場合は、目的外利用又は不正取得した場合に限定されていました。また、第三者への提供停止を請求できる場合は、本人に同意なく第三者に提供した場合又は本人に同意なく外国にある第三者に提供した場合に限定されていました。

 改正法では、①事業者が保有個人データを利用する必要がなくなった場合、②保有個人データの漏洩等が生じた場合、③その他保有個人データの取扱いにより個人の権利又は正当な利益が害されるおそれがある場合にも拡充されました(改正法第30条5項)。 

  • (2) 保有個人データの開示請求のデジタル化

 保有個人データの開示方法について、現行法では書面による交付が原則とされていましたが、電磁的記録の提供を含め、本人の指定する方法による開示ができるようになりました(改正法第28条1項)。

  • (3) 第三者提供記録の開示請求

 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにされました(改正法第28条5項)。

  • (4) 短期保存データの保有個人データ化

 現行法にて定められていた6ヶ月以内に消去する短期保存データについて、改正法では保有個人データに含めることとし、開示、利用停止等の対象とされました(改正法第2条7項)。

  • (5) オプトアウト規定により提供できる個人データの範囲の限定
  •  オプトアウト規定[1]により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とされました(改正法第23条2項)。

3 事業者の守るべき責務の在り方

  • (1) 漏洩等報告の義務化

 漏洩等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知が新たに義務化されました(改正法第22条の2)。

 現行法では、漏洩等が発生した場合に報告する法令上の義務がありませんでした。そのため、積極的に対応しない事業者が存在しており、仮に事業者側が公表もしない場合、委員会が事案を把握できず、適切な対応ができないおそれがありました。このような状況を受けて、今回の改正で報告義務が定められました。

 漏洩等の報告の義務化の対象事案は、要配慮個人情報の漏洩、財産的被害のおそれがある漏洩、不正アクセス等による漏洩、1000件を超える大規模な漏洩が定められています(個人情報の保護に関する法律施行規則第6条の2)。

  • (2) 不適正な方法による利用の禁止

 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化されました(改正法第16条の2)。

 現行法では、個人情報の不適正な利用の禁止が明文で禁止されていませんでした。そのため、個人の権利利益の侵害につながるおそれがある方法で個人情報を利用するなどの事例が発生していたため、今回の改正で事業者が不適正な方法で個人情報を利用することが禁止されました。

4 事業者による自主的な取組を促す仕組みの在り方

認定個人情報保護団体制度の充実

 認定団体制度について、対象事業者の全ての分野における個人情報等の取扱いを対象とする団体を認定する現行制度に加え、対象事業者の特定分野の個人情報等を対象とする団体を認定できるようになりました(改正法第47条2項)。

5 データ利活用の在り方

  • (1) 仮名加工情報について事業者の義務の緩和

 氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、「仮名加工情報」にあたる場合、漏洩等の報告義務、開示・利用停止請求等の事業者の一部の義務が免除されることとなりました(改正法第35条の2第9項)。

  • (2) 個人関連情報の第三者提供規制の新設

 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、現行法では規制はありませんでした。今回の改正により、提供元は提供先に、本人の同意が得られているか等の確認が義務づけられました(改正法第26条の2第1項)。

6 ペナルティの在り方

  • (1) 法定刑の引き上げ

 個人情報保護委員会による命令違反の法定刑を1年以下の懲役又は100万円以下の罰金に引き上げられました。また、委員会に対する虚偽報告等の法定刑を50万円以下の罰金に引き上げられました(改正法第83条及び第85条)。

  • (2) 法人に対する罰金刑の引き上げ

 データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を1億円に引き上げられました(改正法第87条1項)。

7 法の域外適用・越境移転の在り方

  • (1) 域外適用の強化

 日本国内にある者に対する物品又は役務の提供に関連して個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とされました(改正法第75条)。

 現行法では、委員会の外国の事業者に行使できる権限が指導及び助言であり、勧告のような強制力の伴わない権限に限られていました。外国における漏洩等の事案に対して適切な対処を行うことができないおそれがあったため、改正により、外国の事業者に対してより実効的な措置が可能となりました。

  • (2) 越境移転に係る情報提供の充実

 事業者に対し、外国にある第三者への個人データの提供できる要件に加え、以下のように本人への情報提供が義務づけられました(改正法第24条)。

① 本人の同意による場合には、移転先国の名称、移転先国における個人情報の保護に関する制度の有無等について本人に情報提供をする。
② 基準に適合する体制を整備した事業者による場合には、移転先事業者の取扱い状況等の定期的な確認を行うとともに、本人の求めに応じて情報提供をする。

以上

[1] オプトアウト規定とは、本人の要求があれば事後的に停止することを前提に、提供できる個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度のことです。


  |